Il 16 giugno 2026 è emerso che il ransomware DragonForce ha sfruttato Microsoft Teams per nascondere per mesi le sue comunicazioni di comando e controllo (C&C), rendendo l’attacco più difficile da individuare. Un avvertimento importante per PMI, e-commerce e professionisti che utilizzano collaboration cloud.
Cosa è successo
Secondo un report di Symantec e Carbon Black, gli attaccanti hanno usato un malware backdoor scritto in Go, denominato Backdoor.Turn, per nascondere il traffico C&C all’interno dell’infrastruttura relay di Microsoft Teams (TURN), facendolo sembrare normale comunicazione Teams ([isec.news](https://www.isec.news/2026/06/19/dragonforce-hackers-used-microsoft-teams-relay-to-hide-command-traffic-researchers-say/?utm_source=openai)). L’intrusione è avvenuta da dicembre 2025 e ha colpito una grande azienda di servizi statunitense, restando attiva per uno o due mesi senza essere rilevata ([isec.news](https://www.isec.news/2026/06/19/dragonforce-hackers-used-microsoft-teams-relay-to-hide-command-traffic-researchers-say/?utm_source=openai)).
Gli accessi iniziali sono stati ottenuti probabilmente sfruttando una vulnerabilità in server SQL/MSSQL o tramite accesso acquisito da broker. Successivamente, hanno disabilitato gli strumenti di sicurezza usando tecniche BYOVD (Bring-Your-Own-Vulnerable-Driver) e sideloading di DLL tramite eseguibili legittimi come VirtualBox ([isec.news](https://www.isec.news/2026/06/19/dragonforce-hackers-used-microsoft-teams-relay-to-hide-command-traffic-researchers-say/?utm_source=openai)).
Backdoor.Turn si attiva ottenendo un token “visitor” anonimo di Teams, utilizza un relay TURN ufficiale Microsoft e infine apre una sessione QUIC verso il server C&C controllato dagli attaccanti. Il risultato? Il traffico malevolo appare come legittima attività Teams e passa inosservato ([breached.company](https://breached.company/dragonforce-backdoor-turn-microsoft-teams-relay-c2-2026/?utm_source=openai)).
Perché è importante
Questo caso evidenzia un cambiamento nelle tattiche ransomware: sfruttare infrastrutture affidabili per nascondersi, riducendo drasticamente la visibilità delle difese tradizionali ([hexon.bot](https://www.hexon.bot/blog/dragonforce-microsoft-teams-relay-malware?utm_source=openai)).
Per le piccole e medie imprese con siti web, e-commerce o CRM integrato con Teams, il rischio è concreto: il malware può comunicare in modo invisibile dentro flussi considerati sicuri, compromettendo sistemi senza generare allarmi.
Inoltre, la permanenza prolungata (weeks o mesi) permette movimenti laterali, furto dati o sabotaggi prima di arrivare all’encryption, aumentando il danno complessivo ([decryptiondigest.com](https://www.decryptiondigest.com/blog/dragonforce-backdoor-turn-microsoft-teams-c2-ransomware?utm_source=openai)).
Cosa fare adesso
- Monitorare i flussi verso Teams/TURN, cercando traffico anomalo in durata, volume o porti insoliti.
- Analizzare l’uso dei token «visitor» di Teams: se non previsto, può essere un indicatore di compromise.
- Implementare rilevazione di BYOVD tramite liste note di driver vulnerabili e blocchi su Windows più recenti.
- Attivare EDR in grado di individuare sideloading di DLL o processi iniettati da Teams o eseguibili legittimi.
- Applicare patch aggiornate ai server SQL/MSSQL esposti e seguire il principio del privilegio minimo.
- Dopo ogni incidente, valutare un reimaging completo anziché il solo ripristino dati, per eliminare eventuali backdoor persistenti.
Come ti aiuta Evo Sistemi
Da Evo Sistemi possiamo proteggere la tua azienda attraverso servizi mirati:
- Sicurezza informatica: soluzioni di monitoraggio, EDR e gestione vulnerabilità.
- Realizzazione siti web: progettiamo piattaforme con architetture resilienti e conformi.
- Compliance e GDPR: ti aiutiamo a restare aggiornato con le normative, comprese quelle di sicurezza.
Parliamone: contattaci per una consulenza su misura.
Domande frequenti
Come può un ransomware usare Microsoft Teams senza essere scoperto?
Perché Backdoor.Turn sfrutta i relay TURN ufficiali di Teams e un token visitor anonimo: il traffico sembra legittimo e sfugge alle difese basate su dominio o IP.
Quanto tempo può restare attivo un ransomware nascosto così?
Nel caso documentato, la compromissione è durata tra uno e due mesi prima che si arrivasse alla fase di ransomware.
Cosa significa BYOVD e perché è pericoloso?
“Bring‑Your‑Own‑Vulnerable‑Driver” indica l’uso di driver legittimi ma insicuri per disattivare software di sicurezza a livello kernel, rendendo il sistema più esposto.
Fonte: Infosecurity Magazine.